Девід Шварц, CTO Emeritus у Ripple, виявив закономірність у вразливостях безпеки мостів після того, як Kelp DAO rsETH-міст був експлойтнутий приблизно на $292 мільйон. Під час оцінювання DeFi-систем бриджування для використання RLUSD Шварц помітив, що постачальники мостів систематично знижували пріоритет своїх найнадійніших механізмів безпеки на користь зручності — закономірність, яку він вважає такою, що могла сприяти інциденту з Kelp DAO.
Презентація безпекових функцій
У своєму аналізі, яким він поділився у X, Шварц описав, як постачальники мостів просували на перший план передові функції безпеки, а потім одразу ж пропонували, що ці функції є опційними. «Зазвичай вони фактично рекомендували не користуватися найважливішими механізмами безпеки, тому що є витрати, пов’язані зі зручністю та операційною складністю», — написав він.
Шварц зазначив, що під час обговорень оцінювання RLUSD постачальники робили акцент на простоті та легкості додавання кількох мереж «за замовчуванням, що ми не будемо користуватися найкращими функціями безпеки, які в них є». Він підсумував суперечність: «Їхня торгова пропозиція була в тому, що в них є найкращі функції безпеки, але ними легко користуватися й вони масштабуються — за умови, що ви не використовуєте функції безпеки».
Що сталося з Kelp DAO
19 квітня Kelp DAO виявив підозрілу кросчейн-активність із rsETH і призупинив контракти в основній мережі та на кількох мережах рівня 2. Приблизно 116,500 rsETH було виведено через виклики контрактів, пов’язаних із LayerZero, що становить близько $292 мільйонів за поточними цінами.
Ончейн-аналіз від D2 Finance встановив першопричину як витік приватного ключа в вихідній мережі, що створив проблему довіри для вузлів OApp, яку атакувальник використав для маніпулювання мостом.
Налаштування безпеки LayerZero
Сам LayerZero пропонує надійні механізми безпеки, зокрема децентралізовані мережі верифікації. Шварц припустив, що частина проблеми може полягати в тому, що Kelp DAO вирішив не використовувати ключові функції безпеки LayerZero «з міркувань зручності».
Дослідники з’ясовують, чи налаштував Kelp DAO свою реалізацію LayerZero, використовуючи мінімальну схему безпеки — зокрема, єдину точку відмови з LayerZero Labs як єдиним верифікатором — замість того, щоб використовувати більш складні, але значно безпечніші опції, доступні через протокол.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Шахраї видають себе за іранських посадовців і вимагають Bitcoin та USDT від суден у протоці Гормуз
Повідомлення Gate News, 21 квітня — Шахраї, видаючи себе за посадовців Ірану, вимагають Bitcoin (BTC) і Tether (USDT) як транзитні збори з суден у Перській протоці (протоці Гормуз), повідомляє попередження від MARISKS, морської компанії з управління ризиками, що базується в Греції. Ця схема хибно обіцяє "безпечний транзит
GateNews1хв. тому
Хакери з Kelp DAO відмивають $175M у вкрадених коштах через сервіси приватності
Підсумок: Хакери, які стоять за крадіжкою $300M DAO Kelp, відмивають приблизно $175M через два гаманці, спрямовуючи кошти через THORChain, Umbra та BitTorrent, щоб анонімізувати транзакції.
Анотація: Кібербезпекова компанія Cyvers повідомляє про триваюче відмивання коштів із вразливості DAO Kelp: приблизно $175 мільйонів переказано на два гаманці й спрямовано через інструменти приватності, щоб приховати слід, поки галузь працює над виявленням і блокуванням цих активів.
GateNews12хв. тому
Дослідник безпеки розкрив вразливість CometBFT 0-day; пряме викрадення активів неможливе
Повідомлення Gate News, 21 квітня — дослідник безпеки Дойон Пак розкрив критичну 0-денну вразливість (CVSS 7.1) у CometBFT — консенсусному шарі Cosmos, згідно з дописом на X. Вада може спричинити зависання мережевих вузлів під час синхронізації блоків, порушуючи роботу системи, але не може напряму призвести до крадіжки активів.
GateNews2год тому
Імітатори фальшивої поліції примусили французьку пару переказати майже $1M у Bitcoin
Злочинці, видаючи себе за поліцейських у Франції, змусили пару переказати майже $1M у Bitcoin, використовуючи страх і авторитет у «викрутковій атаці», яка експлуатує людей, а не гаманці.
Анотація: Зловмисники застосували підробку особи та психологічний примус, щоб змусити здійснити переказ Bitcoin, демонструючи «викруткову атаку», спрямовану на вразливість людей, а не на технічні експлойти гаманців.
GateNews4год тому
Спроба збройного пограбування проти французького криптопрофесіонала зірвана; підозрюваного затримано
Повідомлення Gate News, 21 квітня — 40-річний фахівець індустрії криптовалют у Сен-Жан-де-Ведан, неподалік від Монпельє, Франція, зірвав спробу збройного пограбування в себе вдома. Підозрюваний, переодягнений під працівника доставки, увійшов до помешкання та зажадав у жертви приватні ключі гаманця для криптовалюти
GateNews4год тому
